Proxy transparent ou non sur 1.3.0

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar pkaer » 23 Mars 2004 07:34

Bonjour, <BR> <BR>J'ai un fonctionnement bizarre du Proxy sur la 1.3.0. <BR> <BR>Si le proxy est activé , ainsi que le mode transparent, mon filtrage d'URL via "Petit Poulpe" fonctionne bien mais <!-- BBCode Start --><B>aucune règles sur le firewall n'est prise en compte</B><!-- BBCode End -->, que cela soit celles ajoutées à la main dans rc.firewall (doc Antolien) ou celle définies dans "blockoutgoing". <BR> <BR>Si le Proxy est activé, mais pas le mode transparent, le filtrage d'URL ne fonctionne plus alors que les règles de firewall deviennent opérationnelles. <BR> <BR>Le même test fait sur une 1.4.0b2 montre une différence dans le sens ou aussi bien le filtrage d'URL que les règles de firewall fonctionnent quand le Proxy est activé ainsi que le mode transparent. <BR> <BR>Si quelqu'un a une idée, elle sera la bienvenue car c'est un site en prod sur lequel je ne peux pas mettre de version beta d'IPCop <BR> <BR>Merci <BR>@+ <BR>PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar poudre » 23 Mars 2004 22:06

Bonsoir, <BR> <BR> <BR>Il faudrait, je pense, comparer le cheminement des trames entre un systeme avec et sans proxy. Les règles de filtrages, si elles ont été positionnées sur la chaine forward par exemple ont peu de chance d'être utilisées dans le cas d'un proxy. <BR>Je peux me tromper, mais pour moi, dans le cas d'un firewall avec Nat on passe pour une trame qui doit sortir par la chaine forward puis output et postrouting mais dans le cas d'un proxy on va passe par le filtre input ( vu que c'est le firewall qui va faire la requette) puis output et peut être postrouting mais cela n'est pas certain.. <BR>A contrôler... <BR> <BR>Il serait vraiment intéressant que le test soit fait puis documenté ensuite. <BR> <BR>Cdlt Pascal.
poudre
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 159
Inscrit le: 21 Nov 2003 01:00

Messagepar tomtom » 23 Mars 2004 22:25

Hum.. <BR> <BR>le cheminement normal d'une tramme au travers d'une passerelle est : <BR> <BR>PREROUTING - FORWARD - POSTROUTING <BR> <BR>Si on ajoute un proxy transparent, les paquets à destination d'un port 80 (et/ou 443, etc) sont modifiés au PREROUTING pour aller vers l'adresse du proxy (adresse locale generalement). <BR>On aura donc un schema ainsi : <BR> <BR>PREROUTING (modif du paquet -> destination = localhost) - INPUT - Traitement du paquet par le proxy - <BR> <BR>Puis une requete de proxy vers la vraie destination : <BR>OUTPUT - POSTROUTING <BR> <BR>Paquet retour : PREROUTING - INPUT - Traitement par le proxy <BR> <BR>Puis renvoi de la reponse au client : OUTPUT - POSTROUTING et renvoi vers le client... <BR> <BR>Donc effectivement, le comportement est modifié. <BR> <BR>Mais, seulement les paquets à destination du port 80 (et autres ports gérés par le proxy). <BR> <BR>Donc si le comportement pour les autres paquets est modifié, c'ets une erreur de config et/ou un bug de ipcop ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

iptables et cache

Messagepar olivier_morin » 24 Mars 2004 18:49

Effectivement si le cache est activé, les règles iptables pour le port 80 ne fonctionnent plus. Et comme petit-pouple utilise squid...
Mais cela n'est pas grave car :
- toutes les règles fonctionnent sauf port http et https
- mais... squidguard (ou squid) permettent de faire des règles pour thhp et https.

Donc aucun problème, juste la réécriture des règles iptables de ces 2 ports en règles squidguard (dans squidGuard.conf).
Avatar de l’utilisateur
olivier_morin
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 186
Inscrit le: 15 Jan 2003 01:00

Messagepar ShonGail » 24 Mars 2004 21:12

tomtom a écrit:Hum..
<BR>
<BR>le cheminement normal d'une tramme au travers d'une passerelle est :
<BR>
<BR>PREROUTING - FORWARD - POSTROUTING
<BR>
<BR>Si on ajoute un proxy transparent, les paquets à destination d'un port 80 (et/ou 443, etc) sont modifiés au PREROUTING pour aller vers l'adresse du proxy (adresse locale generalement).
<BR>On aura donc un schema ainsi :
<BR>
<BR>PREROUTING (modif du paquet -> destination = localhost) - INPUT - Traitement du paquet par le proxy -
<BR>
<BR>Puis une requete de proxy vers la vraie destination :
<BR>OUTPUT - POSTROUTING
<BR>
<BR>Paquet retour : PREROUTING - INPUT - Traitement par le proxy
<BR>
<BR>Puis renvoi de la reponse au client : OUTPUT - POSTROUTING et renvoi vers le client...
<BR>
<BR>Donc effectivement, le comportement est modifié.
<BR>
<BR>Mais, seulement les paquets à destination du port 80 (et autres ports gérés par le proxy).
<BR>
<BR>Donc si le comportement pour les autres paquets est modifié, c'ets une erreur de config et/ou un bug de ipcop !
<BR>
<BR>t.



C'est donc selon ce principe que même si je bloque la totalité des ports de LAN->WAN selon les règles d'Antolien, mes postes accèdent encore au surf (ipcop 1.3+dansguardian) ?

En bloquant aussi la totalité des ports, les logs de p2p ne peuvent plus se connecter, notamment Kazaa. Est-ce parce que les connections initiées par kazaa sur le port 80 sont traitées et rejetées par dansguardian (bien que cela ne soit pas du http) ?

Du coup, à quoi servent les addons devellopés spécifiquement pour bloquer kazaa&co quand un proxy filtrant suffit ?
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 24 Mars 2004 23:22

ShonGail a écrit:C'est donc selon ce principe que même si je bloque la totalité des ports de LAN->WAN selon les règles d'Antolien, mes postes accèdent encore au surf (ipcop 1.3+dansguardian) ?

En bloquant aussi la totalité des ports, les logs de p2p ne peuvent plus se connecter, notamment Kazaa. Est-ce parce que les connections initiées par kazaa sur le port 80 sont traitées et rejetées par dansguardian (bien que cela ne soit pas du http) ?

Du coup, à quoi servent les addons devellopés spécifiquement pour bloquer kazaa&co quand un proxy filtrant suffit ?


Souvent, les softs de p2p sont capables de se connecter via des proxys.
C'est assez etonnant que ca bloque chez toi ... Es-tu sur que tu as regardé toutes les options de ton soft ?

Sinon, je n'en sais pas assez sur ces logiciels, mais j'en ai vu se connecter a partir de site drolement securisés pourtant! (proxy avec auth NTLM...)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar pkaer » 25 Mars 2004 06:43

Salut,

Merci de toutes ces réponses. Elle confirme ce que je supposais; à savoir qu'il y a un problème sur la 1.4.0bx (pour les 1.4.0ax je n'ai pas vérifié).

En effet même si le tansparent du proxy est activé, il ne fonctionne pas. Ceci est confirmé par le fait que les graphes du Proxy restent désèpérement vides.

Est-ce que je suis le seul à l'avoir remarqué ou quelqu'un peut-il confirmer ce problème

Merci
@+
PK

PS : Coup de chapeau à l'équipe d'IXUS pour le travail réalisé pour que nous ayons un beau Forum tout neuf
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar ShonGail » 25 Mars 2004 09:15

tomtom a écrit:
ShonGail a écrit:C'est donc selon ce principe que même si je bloque la totalité des ports de LAN->WAN selon les règles d'Antolien, mes postes accèdent encore au surf (ipcop 1.3+dansguardian) ?

En bloquant aussi la totalité des ports, les logs de p2p ne peuvent plus se connecter, notamment Kazaa. Est-ce parce que les connections initiées par kazaa sur le port 80 sont traitées et rejetées par dansguardian (bien que cela ne soit pas du http) ?

Du coup, à quoi servent les addons devellopés spécifiquement pour bloquer kazaa&co quand un proxy filtrant suffit ?


Souvent, les softs de p2p sont capables de se connecter via des proxys.
C'est assez etonnant que ca bloque chez toi ... Es-tu sur que tu as regardé toutes les options de ton soft ?

Sinon, je n'en sais pas assez sur ces logiciels, mais j'en ai vu se connecter a partir de site drolement securisés pourtant! (proxy avec auth NTLM...)

t.


Pourtant, même en modifiant les options de Kazaa (qui est je crois connu pour être des plus $%#&! à stopper au niveau des passerelles), impossible pour lui de se connecter.

Si je fait un netstat -a sur la machine où j'ai installé kazaa, je m'apercois que celui-ci initie des connexions vers des tas d'adresses sur des ports >1024

Si ces ports sont bloqués au niveau du firewall, n'est-ce pas normal qu'il ne puisse pas se connecter ?

Mais cela me semble un peu facile vu que des progs sont spécifiquement dévellopés pour contrer les logiciels de p2p :shock:
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar tomtom » 25 Mars 2004 10:07

Ben en général; Kazaa et autres sont capables d'utiliser le port 80 et justement le proxy pour se connecter..

Mais bon, je ne suis pas expert, peut-etre que squid allié à un filtrage d'adresse adéquat permet de le bloquer simplement.

Cela me surprend un peu tout de même, mais je n'ai vraiment pas de quoi tester ce genre de choses :lol:

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité